Trois anciens employés des sociétés de réponse aux incidents de cybersécurité DigitalMint et Sygnia ont été inculpés pour avoir prétendument piraté les réseaux de cinq sociétés américaines lors d’attaques de ransomware BlackCat (ALPHV) entre mai 2023 et novembre 2023.
Kevin Tyler Martin, 28 ans, de Roanoke, au Texas (qui a plaidé non coupable), Ryan Clifford Goldberg, 33 ans, de Watkinsville, en Géorgie (en détention fédérale depuis septembre 2023), et un complice anonyme font face à des accusations de complot en vue d’interférer avec le commerce interétatique par extorsion, et dommages intentionnels à des ordinateurs protégés.
S’ils sont reconnus coupables, les accusés risquent jusqu’à 20 ans de prison pour extorsion et 10 ans pour dommages aux systèmes informatiques.
Selon le Chicago Sun-Times, qui a repéré pour la première fois les documents judiciaires non scellés, Martin a travaillé chez DigitalMint en tant que négociateur de menaces de ransomware (tout comme le co-conspirateur anonyme), tandis que Goldberg est un ancien responsable de la réponse aux incidents Sygnia.
Le ministère de la Justice affirme que les accusés opéraient en tant qu’affiliés ALPHV BlackCat, obtenant un accès non autorisé aux réseaux des victimes, volant des données, déployant des logiciels malveillants de cryptage et exigeant des paiements en crypto-monnaie en échange de clés de décryptage et promettant de ne pas divulguer les informations volées en ligne.
Selon l’acte d’accusation, les victimes présumées du groupe comprennent un fabricant de dispositifs médicaux de Tampa, une société pharmaceutique du Maryland, un cabinet médical californien, une firme d’ingénierie californienne et un fabricant de drones de Virginie.
Les procureurs ont déclaré que les assaillants avaient demandé des rançons allant de 300 000 à 10 millions de dollars. Pourtant, ils n’ont été payés que 1,27 million de dollars par la société de dispositifs médicaux de Tampa après avoir crypté ses serveurs et exigé 10 millions de dollars en mai 2023. Bien que d’autres victimes aient également reçu des demandes de rançon, l’acte d’accusation n’indique pas si des paiements supplémentaires ont été effectués.
Comme l’a précédemment rapporté Breachtrace, le ministère de la Justice enquêtait sur un ancien négociateur de ransomware DigitalMint pour avoir prétendument travaillé avec des gangs de ransomwares pour tirer profit d’accords de paiement d’extorsion. Le DOJ et le FBI ont refusé de commenter lorsqu’ils ont été contactés à l’époque pour plus d’informations. On ignore si cet acte d’accusation est lié à l’enquête précédente du ministère de la Justice.
Un rapport ProPublica de 2019 a révélé que certaines entreprises américaines de récupération de données avaient également secrètement payé des gangs de ransomwares tout en facturant des clients pour des services de restauration sans divulguer ces paiements.
Dans un avis conjoint de février 2024, le FBI, la CISA et le ministère de la Santé et des Services sociaux (HHS) ont averti que les affiliés du ransomware Blackcat ciblaient principalement les organisations du secteur de la santé américain.
Le FBI a également lié BlackCat à plus de 60 violations entre novembre 2021 et mars 2022 (les quatre premiers mois d’activité du groupe de ransomwares) et a déclaré avoir récolté au moins 300 millions de dollars de rançons de plus de 1000 victimes jusqu’en septembre 2023.